XFF伪造 [MRCTF2020]PYWebsite1

最新推荐文章于 2024-03-15 09:02:56 发布
最新推荐文章于 2024-03-15 09:02:56 发布
阅读量685 收藏 8
点赞数 9
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_75178803/article/details/136264636
版权
文章描述了一种技术实验,通过在HTTP请求中添加X-Forwarded-For头来伪造IP地址,试图在访问./flag.php时获取网站的旗标(flag)。文章内容涉及网络抓包技术和安全漏洞利用的概念。
摘要由CSDN通过智能技术生成

打开题目

直接查看源码

看到一个./flag.php

访问一下

购买者的ip已经被记录,本地可以看到flag,那么使用xff或者client-ip伪造一下ip试试

bp抓包

加一个X-Forwarded-For头

得到flag

访白鹿
关注
  • 9
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
通过xff伪造ip地址_通过渠道进行伪造
danpu0978的博客
05-17 3740
通过xff伪造ip地址 伪造是一种常见的测试技术,涉及创建可以在测试中使用的接口的裸实现。 它们通常使您可以检查它们的用法,从而可以确保被测对象的行为。 通常,伪造品具有存储和检索方法,但是在本文中,我们将探索使用Go的通道和goroutines创建令人难以置信的通用伪造品,即使执行代码是并发的,它们也可以将测试代码与执行代码同步。 那个单位 首先,让我们看一下要测试的代码。 您可以在g...
与上0xFF的意义.zip
06-05
1. **设置和清除位**:通过将一个数与特定的位模式(如0xFF)进行按位与,可以方便地设置或清除特定的位。例如,如果你想把一个字节的低8位清零,可以将其与0xFF进行按位与,因为0xFF的高8位为0,这样就会清除掉原有...
xff伪造 [MRCTF2020]PYWebsite1
最新发布
m0_75178803的博客
03-15 531
看源代码验证通过会访问/flag.php这个页面。那就bp抓包,伪造xff头。
[MRCTF2020]PYWebsite 1
plant1234的博客
04-16 1189
[MRCTF2020]PYWebsite 1 这题比较简单 打开题目: 查看源码发现: 访问flag.php 得到: 查看源码发现flag: 就发现有flag 后面发现原来我一直开着:X-Forwarded-For为127.0.0.1 它真正的目的也就是用X-Forwarded-For进行id欺骗 ...
[MRCTF2020]PYWebsite
qq_43801002的博客
08-02 815
题目 过程 1.直接在flag.php页面抓包,添加请求头x-forwarded-for:127.0.0.1,发包即可。 这里想讨论的是为什么添加client_ip:127.0.0.1就不行。 2. HTTP_CLIENT_IP头是有的,只是未成标准,不一定服务器都实现了。 3. HTTP_X_FORWARDED_FOR 是有标准定义,用来识别经过HTTP代理后的客户端IP地址,格式:clientip,proxy1,proxy2。详细解释见 http://zh.wikipedia.org/wiki/X-F
BUUCTF [MRCTF2020] PYWebsite
Senimo
01-05 531
[MRCTF2020]PYWebsite 考点: 1. 启动环境: 提示需要购买flag,首先对题目进行信息收集,查看网页源码时,发现: <script> function enc(code){ hash = hex_md5(code); return hash; } function validate(){ var code = document.getElementById("vcode").value; if (c
CVE-2020-1350:HoneyPoC
03-18
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters" /v "TcpReceivePacketSize" /t REG_DWORD /d 0xFF00 /f net stop DNS && net start DNS MS链接: : Microsoft已发布安全补丁,您...
SHA.rar_SHA1
09-20
SHA1算法是一种广泛应用于信息安全领域的哈希函数,全称为Secure Hash Algorithm 1。它由美国国家安全局(NSA)设计,于1995年发布,主要用于数字签名、数据完整性校验以及文件校验等方面。SHA1算法可以将任意长度的...
将bin填充0xFF到指定大小(含源码)
01-15
在这个场景中,由于升级的Flash内存必须是16MB,但下载的文件可能小于这个容量,因此需要通过编程手段来扩展文件大小,填充0xFF(通常代表二进制的“全1”)以满足规定的尺寸。 首先,我们需要理解什么是bin文件。...
OlympusC2020数码相机通信协议剖析.docx
12-18
相机通过发送0X05消息表示删除完成,再发送0XFF消息表示通信结束,此时可以开始删除下一张照片。 此外,文档还提到了波特率消息,用于设置相机与PC的通信速率。0XYY字段定义了不同波特率,如0X00代表恢复默认设置,...
[MRCTF2020]PYWebsite -wp
freerats的博客
08-04 1363
查看源码 发现一段前段验证,然后发现在目录下有一个flag.php 提示验证在后端,所以前面那个前端验证没用(也正常,前端验证都可以直接修改) 购买者的ip已经被记录,本地可以看到flag,那么使用xff或者client-ip伪造一下ip试试。 bp抓包 发现xff可以直接获得flag ...
伪造XFF头绕过服务器IP过滤
weixin_34367845的博客
11-20 1241
IP伪造 TCP/IP层面的IP伪造很难实现,因为更改后很难实现正常的TCP通信,但在HTTP层面的伪造就显得很容易。可以通过伪造XFF头进行IP伪造 XFF字段 X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。通俗来说,就是浏览器访问网站的IP。一般格式: X-Forwarded-For:...
XFF (X-Forwarded-For) 伪造
07-27
然而,由于 XFF 是一个可编辑的请求头,恶意用户可以伪造 XFF 头部来隐藏他们的真实 IP 地址或者冒充其他 IP 地址。这种伪造的行为被称为 XFF 伪造XFF 伪造可能导致安全风险和隐私问题,因为目标服务器可能会...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值